PCI DSS - maschera PAN e registra l'accesso individuale al PAN

Question

PCI DSS - maschera PAN e registra l'accesso individuale al PAN

#1 da (1 voti)
#2 da (0 voti)

3

Come riconciliare due requisiti PCI DSS nelle applicazioni: 3.3 Maschera PAN visualizzata (le prime sei e le ultime quattro cifre sono le massime numero di cifre da visualizzare), in modo tale che solo il personale con esigenze aziendali legittime possa visualizzare il PAN completo. 10.2.1 Registrare tutti i singoli accessi degli utenti ai dati dei titolari di carta

Per essere più specifici, la schermata di ricerca delle applicazioni (basata sulla ricerca degli utenti) elenca più risultati in formato tabella, tra cui PAN, nome del titolare della carta, ID commerciante ecc. Mascheriamo sempre PAN su tale tabella dei risultati e se l'utente ha bisogno di lavoro per vedere il PAN, lui / lei può cliccare sul PAN mascherato per vedere il PAN completo. Questo clic attiva il meccanismo di registrazione e possiamo vedere quale utente ha accesso a determinati PAN (quindi, conforme a PCI DSS req 10.2.1). Ovviamente, riceviamo reclami da parte degli utenti, che questo non è facile da usare perché non possono identificare immediatamente PAN di cui hanno bisogno.

Le mie domande sarebbero - quale sarebbe il tuo approccio a questo? Qualche suggerimento da migliorare?

logging credit-card pci-dss

posta rookie 13.11.2014 - 12:03

fonte

2 risposte

Leggi altre domande sui tag logging credit-card pci-dss

Protezione di un endpoint delle statistiche Crittografie SSL per nginx per supportare CloudFlare e CloudFront

score 1 · Answer 1

Penso che tu abbia un buon approccio. Trovo interessante il fatto che gli utenti si lamentino di non essere in grado di identificare immediatamente i numeri delle carte quando possono visualizzare i primi sei E gli ultimi quattro nella tabella dei risultati - è improbabile che ci siano due risultati con lo stesso numero mascherato. p>

Il modo in cui è attualmente implementato è buono perché ha una registrazione molto dettagliata dell'accesso ai dati dei titolari di carta. Tuttavia, se l'utente ha necessità di essere in grado di visualizzare uno qualsiasi dei numeri di scheda sul file (quelli presentati nella tabella dei risultati mascherati), non vi è alcun impedimento di visualizzare i numeri di tessera completi nella tabella dei risultati anziché mascherati risultati.

Sono d'accordo sul fatto che la formulazione del requisito sia un po 'confusa:

Mask PAN when displayed (the first six and last four digits are the maximum number of digits to be displayed), such that only personnel with a legitimate business need can see the full PAN

La mia riformulazione del requisito sarebbe questa:

Mask PAN when displayed for user without a business need to see the full PAN

Se l'utente ha esigenze aziendali, non vi sono restrizioni sulla quantità di dati che gli si mostrano alla volta. L'unica difficoltà per te sarebbe quella di implementare la registrazione su quali numeri di carta effettivamente sono stati mostrati all'utente. Anche se questo non è semplice come l'approccio con una singola carta, ci sono un certo numero di soluzioni tecniche che puoi usare per affrontarlo nel database o nell'applicazione.

score 0 · Answer 2

Dati PAN PCI DSS (numero di conto personale) dovrebbero seguire questi principi quando si memorizza:

Codifica il numero PAN durante la creazione nel database (in genere con il dispositivo HSM)
Decifra il numero PAN solo quando si verifica l'azione di fatturazione (fatturazione ricorrente, uso del numero memorizzato per acquistare un articolo, ecc.)
Memorizza, in colonne separate (o preferibilmente separate dB) solo le ultime 4 cifre del PAN, se possibile crittografate
Mostra solo le ultime 4 cifre al cliente, non offre mai "rivela il numero totale della carta"

La tua esposizione viene aumentata quando decifri l'intero valore PAN, lo spingo al server delle applicazioni e quindi ne mostri solo una parte. Perché esporre i dati dei clienti (in memoria) quando non vengono effettivamente utilizzati per lo scopo previsto?

Per rispondere alla tua domanda principale: concilia i due requisiti con un protocollo rigoroso sul modo in cui i dati sensibili vengono utilizzati / archiviati e quindi il problema che hai proposto è stato rimosso.